공공·금융·통신 1600개 IT시스템 점검

범부처 해킹방지대책 발표
정보보호 공시의무기업 대폭 확대
신고 없이 조사… 정부 권한 강화

정부가 해킹 정황이 있다면 기업 신고 없이도 조사에 착수할 수 있게 조사권을 강화하기로 했다. 최고경영자(CEO) 보안 책임을 법제화하고 보안 의무를 위반한 기업에 징벌적 과징금을 매기는 방안도 추진한다.

과학기술정보통신부 등 관계 부처는 22일 서울 종로구 정부서울청사에서 이런 내용이 담긴 범부처 정보보호 종합대책을 발표했다. 공공과 민간 전 분야에서 급증하는 사이버 침해 사고를 국가적 위기상황으로 인식하고, 범정부 차원의 대응체계를 구축하겠다는 것이다.

배경훈 부총리 겸 과학기술정보통신부 장관이 22일 서울 종로구 정부서울청사에서 열린 합동브리핑에서 범부처 정보보호 종합대책을 발표하고 있다. 연합뉴스

종합대책에 따르면, 해킹 정황이 확보된 경우엔 기업 신고 없이도 정부가 현장 조사에 나설 수 있게 제도를 개선한다. 현 제도는 기업이 사이버 침해 인지 후 24시간 이내 정부에 신고토록 규정한다. 하지만 기업이 사이버 침해 사실을 알고도 이를 축소, 은폐하거나 늑장 신고한다는 의혹이 잇따라 제기되면서 정부 조사권을 강화하기로 했다.

해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무를 위반한 곳을 대상으로 과태료·과징금을 높이고, 징벌적 과징금 등을 도입해 제재를 강화한다.

정부는 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 정보기술(IT) 시스템에 대해 점검에 착수하고, 통신사를 대상으론 실제 해킹 방식의 불시 점검을 추진하기로 했다. 그 외 플랫폼 등 주요 기업은 자체 점검 후 정부에 관련 자료를 제출해야 한다.

정보보호 역량도 강화한다. 내년 상반기부터 정보보호 공시 의무 기업을 666곳에서 상장사 전체인 2700여곳으로 확대한다. 공시 결과는 보안 역량 수준을 등급화해 공개한다. CEO 보안 책임 원칙을 법에 명문화하고, 보안 최고 책임자(CISO·CPO) 권한도 강화한다.

내년 1분기 공공부문 정보보호 예산과 인력을 정보화 대비 일정 수준 이상으로 확보하고, 정부 정보 보호책임관 직급을 국장급에서 실장급으로 높이는 내용도 포함됐다. 실효성 논란이 제기된 보안인증제도(ISMS·ISMS-P)는 현장 심사 중심으로 바꾼다.

해킹 피해를 본 것으로 파악된 기업 수는 늘어나고 있다. 이날 국민의힘 강민국 의원이 금융감독원으로부터 받은 자료를 보면 2020년부터 지난달 말까지 집계된 금융권 해킹 사고는 31건이다. ‘서비스 거부(DoS)’ 공격이 13건(41.9%)으로 가장 많았고, 악성코드와 보안 취약점 해킹이 각각 7건, 무단접속·조작이 1건이었다.

이정한·김건호·박진영 기자